El verano pasado, James Yip escribió un buen artículo sobre cómo usar Defender for Cloud Apps (MDCA) para administrar aplicaciones de terceros. Como ejemplo, habló sobre la configuración del conector MDCA de Microsoft para Salesforce.com y habló sobre algunos de los desafíos inherentes al uso de un producto de Microsoft para monitorear y administrar una solución que no es de Microsoft. Eso me hizo pensar en dos funciones MDCA menos conocidas: el descubrimiento en la nube y el catálogo de aplicaciones en la nube.
El catálogo de aplicaciones: traer de vuelta el libro de los deseos
Cuando era niño, todos los años, Sears Roebuck publicaba un catálogo de Navidad conocido como Sears Wish Book. Esta fue una valiosa ayuda para las compras navideñas en nuestra familia; Nunca supe qué comprarle a mi mamá, pero Sears me ayudó a incluir páginas de pantuflas, polvos de baño y otras opciones que me salvaron de tener que ejercer ningún juicio o iniciativa al seleccionar un regalo. Del mismo modo, los niños podían marcar con un círculo las cosas que más les interesaban, liberando a los padres de la necesidad de fingir interés en los juguetes y juegos de moda que estuvieran de moda en ese momento. Lamentablemente, el catálogo de aplicaciones en la nube de MDCA es mucho menos divertido, pero sigue siendo bastante útil al evaluar las aplicaciones en la nube para su uso en su entorno.
El catálogo de aplicaciones en la nube está diseñado para brindarle una puntuación de riesgo de nivel bastante alto que indica la evaluación de Microsoft de la calidad de seguridad de la aplicación y el proveedor de la aplicación. Esta puntuación se basa en cuatro factores:
- Datos extraídos de la propia aplicación en la nube (p. ej., ¿la URL de inicio de sesión está protegida con HTTPS? ¿Existe una política de privacidad?)
- Datos extraídos por MDCA de las sesiones de la aplicación en la nube (p. ej., ¿qué encabezados de seguridad HTTP reconoce y emite la aplicación?)
- Análisis humano realizado por el equipo de MDCA (un conjunto de contratistas que Microsoft usa junto con una lista de verificación de atestación para buscar cosas como «¿afirma la aplicación que encripta los datos en reposo?»)
- Entrada de clientes y proveedores, donde cualquiera de las partes puede señalar errores u omisiones de los pasos anteriores.
Cada aplicación incluida en el catálogo (¡y Microsoft afirma que hay más de 31 000!) está clasificada en cuatro categorías: información general sobre la aplicación y la empresa que la proporciona, seguridad (que incluye información sobre si la aplicación es compatible con MFA, si sus certificados TLS son válidos, cuándo fue la última infracción informada, etc.), cumplimiento (qué certificaciones específicas de cumplimiento o gobernanza reclama la aplicación, por ejemplo, ¿cumple con HIPPA? ¿El proveedor cuenta con la certificación ISO 27001?) y legal (principalmente con varios aspectos del RGPD). La Figura 1 muestra una calificación de muestra para cnn.com, que elegí para ilustrar que el catálogo contiene muchas «aplicaciones» que no son lo que normalmente se consideraría como aplicaciones. Además de CNN, el catálogo incluye herramientas populares de redes sociales, aplicaciones de mensajería instantánea y otros servicios que sus usuarios pueden estar ejecutando en su red, incluso si no son aplicaciones comerciales. Esto tiene mucho sentido si considera que la intención detrás de MDCA es brindarle capacidad de supervisión y administración para todas las aplicaciones en la nube que se ejecutan en su red.
Figura 1: una muestra del catálogo de aplicaciones en la nube de MDCA que muestra las calificaciones de CNN
Puede utilizar el catálogo de varias formas. Una forma es usarlo para buscar aplicaciones que se han detectado en su red con las que no está familiarizado. Otra es buscar categorías de aplicaciones para comparar puntajes cuando esté considerando implementar un nuevo tipo de aplicación; obviamente, no tomaría una decisión de implementación basada únicamente en estos datos, pero es una señal útil a considerar.
Descubrimiento de aplicaciones
El inventario es uno de los desafíos actuales en la gestión de aplicaciones empresariales. La administración de aplicaciones comienza con saber qué aplicaciones están instaladas y/o activas en su red, y esto es difícil dada la variedad de diferentes tipos de aplicaciones (las aplicaciones basadas en navegador, móviles y de escritorio generalmente deben administrarse con diferentes herramientas), dispositivos, sistemas operativos, etc., que se encuentran en un entorno empresarial heterogéneo típico. Una forma de resolver esto es hacer un inventario del punto final, que es una de las razones clave por las que las personas usan Microsoft Endpoint Manager. Otra forma, ya menudo más útil, es hacer un inventario del tráfico de red generado por las aplicaciones y usarlo para saber qué aplicaciones se están usando. Esto es exactamente lo que puede hacer MDCA: si habilita el descubrimiento de aplicaciones en MDCA, intentará crear y mantener un inventario preciso de las aplicaciones en la nube que están en uso. La forma más sencilla de hacer esto es alimentarlo con un conjunto de registros de su firewall, lo que le dará una vista instantánea de un punto en el tiempo del uso de la aplicación. Para obtener visibilidad continua, puede conectar MDCA a Defender for Endpoint (lo que le permitirá monitorear aplicaciones en dispositivos individuales), instalar un recopilador de registros que recopile y cargue los registros, o canalice el tráfico de su red a través de un dispositivo de Menlo Security, iboss , Corrata o Zscaler que se integra directamente con MDCA.
¿Qué haces con los datos de descubrimiento? Esa es la pregunta interesante. Probablemente tenga una comprensión informal bastante buena de las aplicaciones que usa la gente: junto con las aplicaciones comerciales aprovisionadas por las que está pagando, probablemente verá una gran cantidad de Netflix, Gmail, Facebook, etc. Pagar dinero para que MDCA le diga lo que ya sabe no parece una gran idea. Sin embargo, es claramente valioso descubrir aplicaciones de TI en la sombra que se utilizan para negocios, y potencialmente con datos confidenciales, sin la aprobación de su organización. También puede resaltar el uso de aplicaciones que no desea en particular en su red, y puede definir políticas para resaltar el uso de aplicaciones no autorizadas en función no solo de la aplicación en sí, sino también de las categorías de riesgo que expone la aplicación. Estos datos de riesgo provienen del catálogo de aplicaciones, otro caso de uso para el catálogo, pero uno que no necesariamente tiene que hacer manualmente.
Primeros pasos con el descubrimiento de aplicaciones MDCA
La documentación de MDCA incluye una larga lista de cortafuegos admitidos. Incluso si no cree que se beneficiaría de la creación de políticas para controlar el uso de aplicaciones en la nube a través de MDCA, vale la pena tomar un par de semanas de registros y cargarlos en MDCA para ver cuál es realmente el uso de aplicaciones en su organización. es, en comparación con lo que crees que es. Puede hacerlo fácilmente con una prueba gratuita de MDCA, aunque solo obtiene uno de esos por inquilino, por lo que es posible que desee consolidar esa prueba con otras actividades de prueba. Una vez que sepa qué aplicaciones están en uso, puede usar el catálogo de aplicaciones para verificar sus puntajes de riesgo para tener una idea más clara de qué riesgo podrían imponer esas aplicaciones y luego decidir cómo proceder.
